我希望允许某些不能使用 MFA 的服务帐户进入我们的办公室公共 IP 范围(运行良好),而不是尝试添加仅允许它访问 Power BI。
我有第一个针对所有用户并强制执行 MFA 的 CAP 策略,但它不包括服务帐户。
我的第二个 CAP:它适用于位置阻止,但不适用于应用程序阻止。这可以在一个 CAP 中完成吗?还是需要分成多个 CAP?不知道我做错了什么?
用户 - 包括:Power BI 服务帐户
云应用或操作 - 包括:所有应用和排除:Power BI 服务
条件 - 地点 - 包括:任何地点和排除:办公室名称地点
授予 - 阻止访问
答案1
最终采取了两项条件访问策略,首先针对用户/组并阻止所有应用程序,然后排除要允许的应用程序。授权设置为阻止
第二个目标用户组并允许您想要的应用程序并阻止所有位置并排除您命名的位置(例如办公室的公共 IP)。